夜雨聆风就在你以为AI Agent是提升效率的神器时,安全研究人员泼来一盆冷水——你的OpenClaw,可能正在替黑客打工。
2026年5月15日,网络安全公司Cyera披露了OpenClaw平台的重大安全漏洞事件,代号 「Claw Chain」 。四个漏洞串联攻击,可以让黑客从一次简单的提示注入开始,一路拿到你服务器的完整控制权。
受影响范围:约24.5万个公网暴露的OpenClaw实例,分布在金融、医疗、法律等行业。
这不是演习。这是开源AI Agent领域目前为止最严重的一次安全翻车。
一、漏洞有多严重?CVSS 9.6分了解一下
安全圈有个评分叫CVSS,满分10分。分数越高越要命。
Claw Chain漏洞包里有4个CVE,最高分9.6分,直接拉满「Critical」级别。
来看这四个漏洞的分工:
CVE-2026-44112(CVSS 9.6 Critical)—— 写文件逃逸沙箱
这是最要命的那个。OpenShell沙箱在检查文件和实际写入之间存在时间差,攻击者利用这个「TOCTOU」竞态条件,可以在检查通过后把文件写到沙箱外面。
你可以理解为:安检让你过闸机,结果你过了闸机后把炸弹搬进了航站楼。
CVE-2026-44113(CVSS 7.7 High)—— 读文件逃逸沙箱
同样的TOCTOU漏洞,这次是读取。攻击者可以用符号链接把「读取受限文件」的请求重定向到系统任意位置。密码文件、SSH密钥、环境变量配置——都能读。
CVE-2026-44115(CVSS 8.8 High)—— 环境变量里的秘密全泄露
OpenClaw的命令校验和白名单机制有个漏洞,攻击者在heredoc里嵌入shell扩展符,就能在命令执行时把API密钥、数据库密码、第三方token一股脑抄走。
你的.env文件,可能早就不属于你了。
CVE-2026-44118(CVSS 7.8 High)—— 摇身一变成管理员
OpenClaw有个叫senderIsOwner的客户端可控标志,系统居然直接信任它而不校验session。
攻击者只要有个有效的Bearer Token,不需要任何管理员权限,就能把自己升级成owner,获得网关配置、调度任务、执行环境的全部控制权。
二、四步拿下服务器:黑客的「开挂」流程
单个漏洞已经够恶心了,但这四个加起来,才是真正的噩梦。
Cyera的完整攻击链是这样的:
第一步:进门
攻击者通过恶意插件、提示注入,或被污染的外部输入,在OpenShell沙箱内获得初始代码执行权限。
注意,这时候黑客还在沙箱里,能干的事有限——理想情况下。
第二步:翻箱倒柜
利用CVE-2026-44115的环境变量泄露和CVE-2026-44113的文件读取,攻击者开始搜集情报。API密钥、数据库密码、配置文件、SSH密钥——所有能让他们横向移动的凭证,一个不落。
第三步:提权
借助CVE-2026-44118,把自己从普通用户「选举」成owner。系统完全信任那个可以被伪造的senderIsOwner标志,攻击者就这么一路绿灯走到了管理员通道。
第四步:埋雷
最后用CVE-2026-44112在沙箱外写入文件。不仅是篡改配置这么简单——他们可以植入后门、修改系统文件、注册持久化任务,让这次入侵在服务器重启后依然生效。
Cyera的总结很到位: 「攻击者把AI Agent的权限当作自己的手,在环境里自由发挥。每一步骤对传统监控来说都像是正常的Agent行为,大大增加了检测难度。」
三、谁在裸泳?245000个公网实例瑟瑟发抖
Claw Chain最大的讽刺在于:OpenClaw本来是帮你自动化工作的,结果它自己先把你的安全防线拆了。
Shodan和ZoomEye的扫描数据显示,约24.5万个OpenClaw实例公网暴露,其中金融、医疗、法律行业占比最高——这几个行业恰恰是对数据泄露最敏感的。
而OpenClaw的设计就是让Agent直连内部系统:文件系统、数据库、邮件、日历、Slack、企业微信、SaaS应用……它有权限访问的东西,黑客拿到后门后全都能染指。
这就引出了一个更底层的问题:AI Agent的安全模型根本就没跟上它的功能进化。
四、修复方案:现在就升级,别等明天
好消息是漏洞已有补丁。OpenClaw在2026年4月23日发布的v2026.4.22版本已经修复了全部四个CVE。
如果你还在用更早的版本,就是24.5万个高风险目标之一。
升级方法一:一条命令搞定(推荐)
bashopenclaw upgrade
等待提示「✅ Upgrade completed」及新版本号,然后重启网关:
bashopenclaw gateway restart
升级方法二:NPM重装
bashnpm install -g openclaw@latestopenclaw gateway restart
升级后必做:健康检查
bashopenclaw doctor
如果有问题,使用修复模式:
bashopenclaw doctor --fix
检查版本命令
bashopenclaw --version
确认版本≥v2026.4.22。
五、安全加固:别把修补当终点
修漏洞只是亡羊补牢,Claw Chain暴露的是AI Agent架构层面的信任模型缺陷。
OpenClaw官方也意识到了这一点,最近推出了五点安全路线图:
1. fs-safe文件系统库
统一所有代码路径的文件写入限制,插件、核心服务、周边工具全部走同一套规则。以后想用符号链接或绝对路径逃逸目录?门都没有。
2. ClawHub信任分级
插件市场的信任体系重新设计,划分为clean、suspicious、held、quarantined、revoked、malicious六个等级。恶意插件直接无法安装,suspicious和held状态需要人工审核。
3. 命令审批机制升级
之前用户被「YOLO模式」惯坏了,安全确认弹窗直接点通过。升级后命令解析能力增强,能识别bash -c "rm -rf"这类包裹命令,不再被表面的「安全命令」骗过。
4. OpenGrep静态扫描规则库
每个GitHub安全公告都会转化成一条OpenGrep规则,目前已有148条规则,每次PR都会自动跑一遍。
5. Auto Review for OpenAI用户
用OpenAI API的用户可以启用自动审查模式,用另一个Agent在沙箱边界帮你审核,不再依赖人类点确认。
六、你该怎么办?
作为使用OpenClaw的普通用户,按优先级做这几件事:
24小时内:
检查当前OpenClaw版本( openclaw --version)如果低于v2026.4.22,立刻升级 重启网关后验证功能正常
本周内:
轮换所有通过OpenClaw访问过的API密钥和token 审计已安装插件来源,禁用非必要插件 检查公网暴露情况,用防火墙或认证限制访问
长期:
启用最小权限原则,不要给Agent超出必要范围的权限 定期审计Agent行为日志,关注异常操作 关注OpenClaw安全公告,建立补丁响应机制
结语:AI Agent的信任危机才刚开始
Claw Chain不是个例。2026年以来,Cursor Agent删库跑路、Claude Code沙箱逃逸、MCP服务器五类攻击全成功——AI Agent领域正在经历一场安全现眼。
问题的根源不是某个代码写得不好,而是整个行业的思路还没转过来:Agent拥有高权限、长执行链路、能访问真实系统,这些能力本身就是攻击面。
传统安全模型里,「网络可达」不等于「授权访问」。但AI Agent打破了这条边界——只要Agent能连,攻击者就能通过Agent间接连。
OpenClaw创始人Peter Steinberger在漏洞披露后发推说: 「安全这事,做得再好也不为过。」
这话听着像表态,但24.5万个公网实例已经说明,很多用户的OpenClaw根本就没做过安全加固。
你的AI助手,是工具还是后门?
答案取决于你愿意花多少时间在安全配置上。
【梨话代语】
专注AI效率工具犀利测评,帮更多职场人避坑涨技能。
觉得有用?点个赞,让更多人知道这次安全事件。
